ダークウェブビッグデータ分析AI企業S2W S2W(以下、S2W、代表:徐尚徳 ソ・サンドク)は3月10日、「2025年サイバー脅威決算報告書」を公開しました。本報告書は、同社の脅威インテリジェンスセンター「TALON」が、ダークウェブ・ディープウェブ・テレグラムなど、通常の検索エンジンではアクセスできない「ヒドゥンチャネル(通常の検索では発見できない脅威情報源)」を包括的に監視・分析した成果をまとめたものです。
本報告書により、日本がアジアにおけるランサムウェア被害件数で3年連続ワーストを記録していることが明らかになりました。さらに、日本の企業・政府機関を直撃する「三重脅威」の実態も浮き彫りになっています。具体的には、生成AIを悪用した攻撃の自動化、日本を名指しで狙うハクティビストグループ(特定の政治的主張を持つサイバー攻撃者集団)の台頭、そして北朝鮮・中国など国家が支援するサイバー攻撃の深化という、三つの深刻な脅威です。
・ランサムウェア被害の急増:日本はアジア4年連続ワースト
2025年、アジア10か国(GDP上位10か国を対象)におけるランサムウェア被害は計383件に達し、前年(159件)から約2.4倍と急増しました。2022年から2025年までの4年間累計でも、日本は149件でアジア最多となっています。
国別では、日本が2023年以降アジア10か国中1位を維持。韓国も前年比10倍(6件→60件)と突出した増加を記録しており、東アジアを中心に脅威が急速に拡大している実態が浮かび上がります。
※分析対象期間:2022-2025年、2025年は1月~10月。アジア10か国は2024年GDPランキング基準で選定。ソース:S2W QUAXAR
・ランサムウェア「Qilin」のグローバル拡大と日本への影響
「Qilin(麒麟)」は、2022年5月から活動するロシア背景のランサムウェアグループです。RaaS(Ransomware-as-a-Service)と呼ばれる分業型ビジネスモデル、すなわちランサムウェアをツールとして実行役に提供し、身代金交渉まで代行する仕組みで運営されており、「RAMP」「DarkForums」「Exploit」「XSS」など複数のダークウェブフォーラムを拠点に活動しています。医療機関を重点ターゲットとし、英国NHS(国民保健サービス)傘下の病院への攻撃で国際的に注目を集めました。米国保健福祉省(HHS)もプロファイリングレポートを公開しています。
主な攻撃手法は、フィッシングメール(リモートアクセスツール「ScreenConnect」の認証通知を装った事例が確認されています)、ソフトウェアの脆弱性悪用、および窃取済みアカウント情報の転用です。2025年9月には、大型ランサムウェアグループ「DragonForce」「LockBit」と同盟を締結。グループ間の「カルテル化」が進行しており、組織的脅威としての危険度が一段と高まっています。2022年5月から2025年9月までに計63か国を攻撃。米国が全体被害の54.6%を占めています。
国別被害ランキングでは、日本・韓国ともに「Qilin」による被害が4件で同率5位となっています。報告書は「最近では、韓国および日本企業をターゲットとした攻撃が著しく増加している」と明記しており、両国に対する脅威の高まりは今後も注視が必要です。なお、2025年10月には単月191件と過去最多を記録しており、攻撃ペースの加速は顕著です。
・生成AIの両面性、ダークウェブ発の攻撃用AI「Xanthorox AI」の台頭
2025年、生成AIはサイバー攻撃の「武器」として本格的に活用され始めています。報告書では、以下の4つの領域で具体的な悪用事例が確認されています。
2025年4月、ダークウェブ上にサイバー犯罪専用AIモデル「Xanthorox AI」が公開されました。商用LLMの安全制限を強引に突破する「ジェイルブレイク」とは異なり、開発者が独自に構築した専用モデルであり、自己管理サーバー上で運用されています。
主な機能として、悪意のあるコードやスクリプトの自動生成、および検出のたびに形態を変える「ポリモーフィック型マルウェア」の生成が確認されています。S2Wの検証では、生成コードに文法的・構造的エラーが含まれるなど、単独での精度には現時点で課題が残ります。ただし、他のAIモデルとの併用や追加検証を経ることで攻撃がさらに精緻化する可能性は高く、過小評価は禁物です。
攻撃側による「AI活用」はすでに実行段階に入っています。「人間が設計する攻撃」から「AIが自動生成する攻撃」への転換点にあるという認識が、今や防御側にも求められています。
・日本の国家・企業へのサイバー攻撃の実態
2025年、日本はランサムウェアにとどまらず、DDoS攻撃(大量のアクセスを送りつけてサービスを麻痺させる攻撃)、データ窃取・販売、政府機関への不正侵入など、多角的なサイバー攻撃の標的となりました。これらの攻撃主体が持つ動機は、大きく2つに分類されます。
2025年の大きな変化として、従来は社会的・政治的主張を動機に活動していたハクティビストグループが、金銭的利益をも追求する攻撃モデルへと転換しつつあります。動機の複合化により攻撃の予測が困難になり、業種・規模を問わずあらゆる企業が潜在的な標的となる状況が生まれています。
以下は、思想的動機で日本を攻撃したグループの具体的被害状況です。
1.日本を狙ったDDoS攻撃:3グループが合計125の機関・企業に被害
2.CLOBELSECTEAM:「#OpJapan」キャンペーン
2025年6月から活動を開始。親ロシア・中国・北朝鮮・ベトナムの立場を標榜し、「日本国内のクルド人に対する差別的行為への抗議」を名目に、日本への攻撃を本格化させています。
3.Kirov Elite Group:日本の政府機関・企業を重点攻撃
2025年8月から活動するロシアを拠点とするAPT(国家支援型の高度持続的脅威グループ)。「#SlavaRussia」「#AntiNatoAction」のハッシュタグを掲げ、反ロシア的とみなした政府機関・企業を標的に攻撃を展開しています。
金銭的動機による攻撃事例
以下は、純粋に金銭的利益を目的としてグローバルに攻撃を展開するグループの事例です。政治的動機を持たず、業種・国籍を問わずあらゆる組織を標的とします。「Scattered Spider」「ShinyHunters」「Lapsus」という3つのグループが連合した「SLSHグループ(ScatteredLapsus」という3つのグループが連合した「SLSHグループ(Scattered Lapsus」という3つのグループが連合した「SLSHグループ(ScatteredLapsus Hunters)」は、2025年8月よりTelegramを拠点に活動を開始しました。
2025年10月、北米・ヨーロッパ・アジアなど計11か国に対し、45件の攻撃を実行。特定の国や業種を問わない全方位的な攻撃が特徴で、EaaS(Exploitation as a Service:攻撃機能を他の犯罪グループに提供するサービスモデル)プログラムを通じた組織間連携も確認されています。
手口としては、電話を悪用したフィッシング「Vishing(ビッシング)」とOAuthトークン窃取(認証情報の不正取得)を組み合わせ、Google・Salesforceへの不正アクセスを実行。韓国企業のWemade・HMM・SK Telecomへの攻撃も同グループが主張しています。
日本での被害は計3件で、国別ランキングの全体3位に位置します。業種を問わない無差別的な攻撃手法の性質上、あらゆる日本企業が潜在的な標的となり得ます。なお、2025年10月20日に主要メンバーの逮捕を理由として活動中断を告知しましたが、わずか1か月後には新たなTelegramチャネルを開設し、活動継続を宣言。実質的な脅威は継続しており、継続的な監視が不可欠です。
日本へのサイバー攻撃の傾向まとめ
日本への提言:2026年のセキュリティロードマップ
以上の傾向を踏まえ、日本の政府機関・企業は、特定の脅威アクターへの個別対応だけでなく、多層的なサイバーセキュリティ対策の整備と、脅威インテリジェンスに基づく継続的な監視体制の構築が急務となっています。
S2Wは、日本企業が2026年に取るべき対策を提言します。
1.基本の徹底
クラウド・IoT・OTを含む全デジタル資産をAIで自動管理し、脆弱性を即時修正する体制を構築します。外部ライブラリーやShadow IT(管理外のシステム)、社内のシャドーAIサービスを含む「統合攻撃対象領域の可視化」も不可欠です。従業員の個人メール使用禁止など、内部統制の強化も基本中の基本です。
2.検知・対応能力の強化
セキュリティ人材が不足する中小・中堅企業はMDR(外部専門企業による24時間監視サービス)の活用が有効です。攻撃者側のAI活用に対抗する「Defender AI」用の脅威インテリジェンス整備と、北朝鮮・中国など国家支援型グループに対するリアルタイム情報フィードの内製化も求められます。
3.ガバナンスとセキュリティ文化の定着
AIエージェントやAPIキーなど「人間以外の主体」によるデータ流出をリアルタイム監視する体制を整えます。CISOを選任し、セキュリティを技術部門の課題ではなく経営課題として位置づけることが重要です。攻撃を100%阻止できない前提で、定期的な復旧訓練とオフサイトバックアップの高度化により、持続可能な回復力を構築します。
全文は以下よりダウンロード可能です。
https://s2w.inc/ja/resource/detail/989
■会社概要
商号 :S2W
代表者 :代表 徐尚徳 ソ・サンドク
設立 :2018年9月
公式サイト:https://s2w.inc/ja
2018年9月に設立されたS2Wは、2023年に世界経済フォーラム(WEF)の「最も有望なテクノロジーパイオニア100社」のうちの1社に選定されたダークウェブビッグデータ分析AI専門企業です。
2020年に「国際刑事警察機構(ICPO)」のパートナー企業に選定されて以降、国際社会の安全保障強化のための捜査協力を続けており、2024年7月からマイクロソフト(MS)の「セキュリティコパイロット(Security Copilot)」にデータを提供し、機関や企業に向けた技術協力を続けています。また2025年10月には、ICPOが主導する官民協力プログラム「Gatewayイニシアチブ」の世界12番目のパートナーとして、韓国から初めて選定されました。
製品情報:
●XARVIS(ザービス):公共部門・政府機関向けサイバー犯罪捜査ビッグデータソリューション
●QUAXAR(クェーサー):民間企業・機関専用サイバー脅威インテリジェンスソリューション
●SAIP:産業用生成AIソリューション
